29 Januari 2009

Mengurangi Modus Kejahatan Dunia Digital

Kartu Kredit Sasaran Empuk
Masih ingatkah Anda tentang pengungkapan jaringan perjudian internet Indonesia-Hongkong di Babat, Lamongan? Atau ketika sebuah akun di situs Friendster memasang foto rekayasa Presiden Susilo Bambang Yudhoyono tengah bermesraan dengan Bambang Trihatmodjo? Itulah dunia maya.

Revolusi komputer maupun perkembangan teknologi informasi dan telekomunikasi ternyata masih menjadi barang mahal di Indonesia. Menurut Asosiasi Penyelenggara Jasa Internet Indonesia (APJII), baru sekitar 10 persen dari 220 juta rakyat Indonesia yang mengenal komputer. Bahkan, menurut pakar telematika Roy Suryo, hanya 6,6 persen atau sekitar 14,4 juta rakyat Indonesia yang melek komputer.

Meski kurang dari 10 persen warganya yang mengenal komputer, Indonesia ternyata menjadi surga bagi pelaku kejahatan dunia maya (cyber crime). Menurut data penyedia jasa telekomunikasi dan informatika (telematika) e-commerce, tahun lalu Indonesia menduduki peringkat ketiga di dunia, di bawah sejumlah negara Eropa Timur. Bahkan, pada 2002, Indonesia menduduki peringkat kedua dalam kasus kejahatan digital di dunia. Indonesia hanya dikalahkan oleh Ukraina, salah satu negara sosialis pecahan Uni Soviet.

Catatan Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) menyebutkan jumlah kejahatan dunia maya hingga pertengahan 2006 mencapai 27.804 kasus. Itu meliputi +++++ spam, penyalahgunaan jaringan teknologi informasi (TI), open proxy (memanfaatkan kelemahan jaringan), dan penyalahgunaan kartu kredit.

Secara garis besar, cyber crime terdiri atas dua jenis, yaitu kejahatan yang menggunakan TI sebagai fasilitas dan kejahatan yang menjadikan sistem dan fasilitas TI sebagai sasaran. Beberapa modus kejahatan digital yang menggunakan TI sebagai fasilitas, antara lain, penipuan finansial dengan media komunikasi digital (banking fraud).

Pelaku sengaja membuat situs jebakan yang alamat maupun fiturnya mirip dengan aslinya untuk menjerat nasabah yang ceroboh untuk memasukkan nomor rekening dan password.

Bila terjebak, dalam sekejap seluruh tabungan Anda berpindah nomor rekening, bahkan bisa jadi nomor rekening di Cayman Island atau negeri antah berantah lainnya. Kasus ini pernah menimpa nasabah mobile banking sebuah bank nasional terbesar Bank Central Asia yang terjebak masuk ke situs palsu.

"Modus itu namanya type site, yakni kejahatan yang dilakukan pelakunya dengan membuat nama situs palsu yang sama persis dengan situs aslinya. Kalau yang mengganti halaman muka namanya web deface," ucap Kanit Cybercrime Bareskrim Mabes Polri Petrus Golese.

Kejahatan digital jenis baru yang cukup meresahkan banyak orang adalah phising atau penipuan lewat e-mail. Phising merupakan teknik untuk mencari personal information (alamat email, nomor rekening, dan data pribadi lainnya) dengan mengirimkan e-mail yang seolah-olah datang dari bank yang bersangkutan.

Sementara, kejahatan digital yang bertujuan pada peralatan IT antara lain defacting dan hacking. Keduanya bertujuan mencuri data-data milik orang lain dalam jaringan komunikasi data, maupun sekadar penetrasi jaringan sistem komputer untuk mengganggu privasi maupun bertujuan membuat sistem gagal berfungsi (denial of service/DoS).

Bagi yang berupaya masuk ke sistem jaringan sekadar untuk "mengadu ilmu", pelakunya disebut hacker. Sementara yang tujuannya merusak jaringan kerap disebut cracker.

Anda masih ingat dengan serangan hacker ke server Komisi Pemilihan Umum (KPU) dan situs Partai Golkar? Pelakunya yang kemudian tertangkap mengaku hanya ingin berolok-olok sekaligus mengingatkan pengelola jaringan IT KPU yang sebelumnya berkoar di media bahwa jaringannya 100 persen kebal serangan hacker. Modus yang kerap digunakan para pembobol jaringan ini antara lain menyebarkan virus, worm, backdoor, maupun trojan pada perangkat komputer sebuah organisasi yang mengakibatkan terbukanya akses-akses bagi orang-orang yang tidak berhak.

Bentuk kejahatan digital yang paling banyak terjadi di Indonesia adalah mencuri nomor dan password kartu kredit untuk transaksi di situs belanja, seperti E-Bay maupun Amazon. Pelakunya kerap disebut carder. E-commerce menggolongkan Indonesia sebagai surga carder. Pusat carder utama di Indonesia secara berurutan adalah Semarang, Jogjakarta, Medan, Bandung, Jakarta, Denpasar, dan Surabaya.

Karena reputasi yang buruk, hingga kini sulit bagi orang yang menggunakan internet protocol address (IP Address) asal Indonesia untuk berbelanja secara legal di situs belanja. Bahkan, terjadi beberapa kasus penolakan kartu kredit jaringan global yang diterbitkan di Indonesia yang dibawa pemiliknya bepergian ke luar negeri.

Heru Nugroho, Sekjen Asosiasi penyelenggara Jasa Internet Indonesia (APJII), mengatakan jumlah alamat Internet Protocol versi four (IPv4) di Indonesia hingga akhir tahun 2006 diperkirakan sekitar 2.675 dan versi six (Ipv6) sebesar 131.073.

"Sejumlah alamat IP diketahui telah dimanfaatkan untuk penyalahgunaan kartu kredit dan kejahatan terorisme di Indonesia," ungkapnya. Polri sejauh ini berhasil mengungkap sejumlah pelaku carder di Jogjakarta, Semarang, dan Bandung. Namun, jumlahnya tidak signifikan.

Pekan lalu, wartawan koran ini mendapati sebuah laptop merek Sony Vaio yang aslinya seharga Rp 21 juta hanya dijual dengan harga Rp 4,5 juta di sebuah "toko" barang hasil carding di daerah Menteng, Jakarta Pusat. Tak hanya komputer, barang tetek-bengek seperti sepatu merek Timberland dan ikat pinggang Dolce & Gabbana dijual dengan harga hanya 15-20 persen dari harga aslinya.

"Memang sebagian besar pelaku carding awalnya hanya untuk memenuhi gaya hidup. Saya dan Heru Nugroho pernah membantu Polisi menangkap seorang carder di Yogyakarta yang menggunakan kartu kredit milik warga Amerika Serikat untuk membeli jaket dan sarung tangan," ujar Roy Suryo.

Nilai kerugian akibat carding juga terus meningkat. Pada 2003, Polri mencatat ratusan kasus carding dengan nilai kerugian baru berkisar USD 1,296 juta. Setahun setelahnya, kerugian meningkat menjadi USD 4,543 juta. Akhir tahun lalu, APJII memperkirakan kerugian akibat pembobolan kartu kredit mencapai USD 6-7 juta.

Modus tradisional pembobol kartu adalah menadah data kartu kredit dari transaksi konvensional, misalnya pembayaran dengan kartu kredit di hotel, biro wisata, restoran, dan toko cinderamata. Mereka juga rajin mengamati pergerakan data digital untuk melakukan sniffing.

Sebagai komunitas klandestin, kalangan carder juga dikenal tidak pelit berbagi nomor dan password kartu kredit dengan sesama carder. Dalam berbagai milis, Anda akan mudah menemukan nomor dan password kartu kredit asli, bahkan dengan embel-embel situs porno yang direkomendasikan untuk menjadi ajang uji coba.

Modus terbaru yang berkembang saat ini adalah sekelompok orang di beberapa negara me-lakukan penipuan kartu kredit secara terorganisir dan lintas negara. "Rekrutmen" anggota jaringan biasanya juga dilakukan lewat chatting.

Karena IP address Indonesia mayoritas ditolak (terutama Semarang dan Yogyakarta), carder mendaftarkan dirinya dengan IP address di luar negeri. Selanjutnya dia berbelanja di toko online dan mengirim barang ke seorang temannya di negara lain. Dari negara itu, barang dikirim ke Indonesia dengan jasa kurir.

Seorang penyidik madya di Unit Cybercrime Bareskrim membeberkan, tahun lalu Mabes Polri menerima 278 laporan kasus kejahatan digital. Namun tak satu pun pelaku yang diseret ke pengadilan karena penyidik kekurangan alat bukti.

Menanggapi hal tersebut, Wakapolri Komjen Pol Makbul Padmanegara mengakui kesulitan penyidikan ada pada minimnya alat bukti.

"Kejahatan mengenai dunia maya ini memang sulit untuk pembuktiannnya. Perkara kejahatan cyber ini, pembuktiannya harus cyber juga," terang Makbul. (noe)
Belum Ada Sanksi Jelas


Meski hanya sepuluh persen penduduk Indonesia yang memanfaatkan internet, dalam soal kejahatan dunia maya, Indonesia menempati posisi ketiga. Berikut petikan wawancara dengan pakar IT KRMT Roy Suryo Nitidiprojo.



Bagaimana posisi Indonesia dalam cyber crime internasional?

Pengakses internet di Indonesia hanya 14,4 juta atau 6,6 persen di antara total penduduk. Namun, Indonesia menduduki peringkat ketiga kasus cyber crime di dunia. Posisi ketiga itu sudah mending. Sebab, pada 2002 menurut data e-commerce, Indonesia menduduki peringkat kedua, di bawah Ukraina. Dengan menggunakan UU yang ada, seperti UU Telekomunikasi, UU Money Laundering, UU Perlindungan Konsumen, dan KUHP, kita bisa menjerat beberapa kejahatan dunia maya.


Apa urgensi UU Informasi dan Transaksi Elektronik?

Kita butuh UU khusus untuk mengatur keabsahan sebuah transaksi elektronik. Kita memulainya sejak masih Kementerian Kominfo dengan menggabungkan dua RUU yang diusulkan Unpad dan UI. Dibentuk Tim Khusus seperti Pak Ahmad Ramli, Prof Leica Marzuki, dan saya (Roy Suryo) dan mulai dibahas November 2005. Komisi I DPR menargetkan Juni atau Juli 2007 RUU ITE itu terbit.


Bentuk kejahatannya?

Teknologi sudah masuk ke masyarakat. Indonesia tidak terlalu ketinggalan, hanya banyak yang menyalahgunakan teknologi. Misalnya, banyak SMS palsu, carder (pembeli barang-barang dari internet dengan account perbankan milik orang lain), blog atau situs palsu, friendster yang digunakan untuk memalsukan identitas seseorang.

Dalam tataran hukum, kasus-kasus tersebut tidak bisa diselesaikan dengan hukum formal. Padahal, kalau mau, itu bisa karena sudah ada contohnya. Di Jogja sudah ada carder bernama Bethels Pangkur, yang membeli sarung tangan dan jaket dengan kartu kredit milik orang Amerika Serikat. Kasusnya bisa ditangani dengan UU Telekomunikasi dan KUHP.

Namun, bukti digital (digital evidence) belum menjadi alat bukti utama, baru menjadi petunjuk yang harus dikuatkan dengan saksi ahli dan bukti pendukung lain. Itu kan menyulitkan bagi penertiban hukum Indonesia dan menyulitkan orang-orang yang mau melakukan transaksi secara benar di dunia maya.

Meski pengguna internet kurang dari 10 persen, dampaknya terhadap transaksi keuangan yang lain besar sekali. Jangan hanya pandang internetnya, tapi UU itu mampu mengesahkan bukti digital sebagai alat bukti. Sekarang bukti pembayaran bagi calon penumpang airline tertentu, pengguna kartu ATM, internet banking, mobile banking, tidak punya dasar hukum. Itu hanya upaya mengikuti aturan perbankan, bukan bukti yang bisa diterima semua pihak, termasuk di mata hukum.


Soal sanksi bagaimana?

RUU ITE yang terdiri atas 14 bab ini memiliki ketentuan hukum, namun hanya me-refer pada perundang-undangan yang ada. Kalau ada kasus yang berkaitan dengan telekomunikasi, nanti me-refer pada UU Telekomunikasi. Soal HAKI nanti me-refer pada UU Hak Atas Kekayaan Intelektual, sanksi pidana juga me-refer pada KUHP, dan sebaginya.

Pencurian di dunia maya kan selama ini tidak bisa masuk dalam ketentuan pasal 362 KUHP karena locus delicti (tempat kejadian perkara, Red)-nya tidak jelas. UU ITE memastikan bagaimana mencari locus delicti, bagaimana memastikan time possibility dengan menggunakan data-data digital. Jadi, UU ini menguatkan alat bukti yang dulu bukan alat bukti sekarang bisa menjadi alat bukti.

Pesan SMS kan beda dengan kuitansi bermeterai. Kalau kuitansi bermeterai, hakim tidak perlu tanya meterainya beli di mana, nempelnya kapan, dan sebagainya. Beda dengan SMS. Print out-nya kan tidak bisa ditanyakan pada pemilik nomor, masih harus memutar menanyakan dulu ke operator dan saksi ahli. Dengan UU ini, kalau pesan tersebut dinyatakan sah dimiliki satu nama, itu sudah bisa menjadi alat bukti di persidangan.


Menjangkau public domain?

Tentu bisa. Kita contohkan pencurian listrik. PLN bisa menjadikan bukti pengurangan tagihan atau kerugian finansial sebagai alat bukti di persidangan. Begitu juga warnet. Dengan print out key logger atau log access sudah sah menurut UU ITE untuk menjadi bukti kejadian kejahatan, itu minimal membuktikan bahwa pada jam sekian, tanggal tertentu, terjadi akses internet setidak-tidaknya satu di antara sepuluh terminal yang ada untuk berbuat kejahatan. UU ini juga menuntut warnet untuk bertanggung jawab, tidak asal memberikan akses secara terbuka pada umum tanpa memberikan data-data identitas pengunjung.

Demikian halnya pendaftaran nomor kartu prabayar operator selular. Selama ini kan banyak yang memberikan data-data bohong ketika mendaftar. Misalnya, ada yang mengisi Osama Bin Laden alamat di Iraq selama ini kan tetap sah dan kartunya tetap bisa digunakan karena tidak punya dasar hukum. Dengan UU ITE, operator selular punya dasar untuk mematikan nomor selular yang datanya bohong-bohongan.

Demikian juga print out online ticketing di maskapai penerbangan. Bagaimana mengurus asuransi penumpang pesawat saat ada kecelakaan bila tidak ada tiketnya? Kalau print out itu kita gunakan sebagai input untuk mengecek kode booking dan datanya tepat sesuai identitas penumpang, print out itu sah meski tanpa ada cap atau pengesahan berupa tanda tangan atau surat keterangan yang dikeluarkan maskapai.


Bagaimana kesiapan penyidiknya?

Di Mabes Polri kan sudah ada reskrimsus cyber crime di Bareskrim. Untuk mendukungnya, kita bentuk task force (satuan tugas, Red) Indonesia Computer Emergency Response Team. Anggotanya beberapa peminat teknologi informasi dari Bank Indonesia, kejaksaan, dan penyelenggara jasa internet Indonesia yang bisa membantu tugas aparat. Penyidiknya tetap polisi atau penyidik pegawai negeri sipil (PPNS) dari Kejaksaan Agung atau Dirjen Postel.

Task force ini hanya sebagai pendukung, Memang tidak semua pakar telematika itu mau bergabung ke task force karena dulu mereka adalah pelaku cyber crime, pelindung, mentor, atau minimal takut kepada pelaku cyber crime. Sebab, banyak pakar IT yang dulunya hacker.

Tidak ada komentar:

Posting Komentar

Sampaikan Pesan dan Komentar Anda